Форензика и OSINT

Криминалистический цифровой анализ USB включает в себя сохранение, сбор, проверку, идентификацию, анализ, интерпретацию, документацию и представление цифровых данных (улик), полученных из цифровых источников, с целью облегчения или дальнейшего восстановления событий, которые были признаны преступными.

Обработка образа диска – криминалистический анализ USB:

• Образ диска определяется как компьютерный файл, где имеется контент и структура устройства хранения данных, это может быть жесткий диск, CD-привод, телефон, планшет, оперативная память или USB-накопитель.
• Образ диска состоит из фактического контента устройства хранения данных, а также информации, необходимой для репликации структуры и компоновки содержимого устройства.
• Однако широкий ассортимент известных инструментов используется в суде для проведения анализа...

Всем привет. Совместно с @Sunnych возникла идея получить переписку телеграмма на рутированном смартфоне.
База данных Telegram, а именно файл cache4.db находиться в смартфоне по адресу:

/data/data/org.telegram.messenger/files/cache4.db

После получения файла БД было разработано приложение Receiver под Windows 7/8/10, приложение использует Microsoft .NET Framework 4.6
требует только распаковки и запуска файла Receiver.exe.
После запуска приложения требуется подключить БД:

При удачном подключении:
Так как в Telegram не все пользователи могут быть связаны с номером телефона для начала выведем таблицу пользователей с их:

• uid (уникальным идентификатором)...

Записи, поддерживаемые списками переходов, могут предоставить богатый источник доказательств хронологии действий пользователя для судебного эксперта. Структура и артефакты, записанные списками переходов, широко обсуждались в различных судебных сообществах с момента его дебюта в Microsoft Windows 7. Однако эта функция имеет больше возможностей для выявления доказательств в Windows 10 из-за своей измененной структуры. В структуре списков переходов в Windows 10 нет литературы, и однозначных инструментов, которые могут успешно разобрать списки переходов как в Windows 7/8, то что доступно (не учитывая специализированные коммерческие комплексы) не работает должным образом для Windows 10.
В этой статье мы определим (в дополнительной информации прикрепленной в наших ресурсах, ссылка ниже) структуру списков переходов в Windows 10 и сравним её с Windows 7/8.
Кроме того, инструмент доказательной концепции JumpListExt (Jump List Extractor) разработан на основе идентифицированной структуры...

Jump List (Списки переходов) – эта функция впервые появилась в Windows 7.
Списки похожи на ярлыки, за исключением того что списки создаться для файлов или каталогов которые используются регулярно.
В отличии от ярлыков они несут в себе больше информации.
Например, браузеры создают списки для просмотра часто посещаемых сайтов, текстовые редакторы (есть исключения) последние открытые документы, другие позволяют создавать для них задачи.


Для пользователя списки переходов упрощают поиск и работу, обеспечивая быстрый доступ к файлам и задачам, связанным с приложениями.
Для криминалиста списки переходов являются хорошим показателем какие файлы были открыты недавно...

Сетевая криминалистика является подразделением цифровой криминалистики, связанной с мониторингом и анализом трафика компьютерной сети в целях сбора информации, юридических данных или обнаружения вторжений.

В отличие от других областей , сетевые исследования касаются изменчивой и динамичной информации. Сетевой трафик передается и затем теряется, поэтому link removed часто является активным исследованием.

Что такое файл PCAP

В области администрирования компьютерной сети, pcap (захват пакетов) состоит из интерфейса прикладного программирования (API) для захвата сетевого трафика.

Unix-подобные системы реализуют pcap в библиотеке libpcap; Windows использует порт libpcap, известный как WinPcap.
Это файл данных, созданный Wireshark (ранее Ethereal), бесплатной...

Продолжение: Форензика анализа Thumbs и Thumbcache в Windows
В ряде судебных дел и судебных расследований рассматриваются миниатюрные фотографии, содержащиеся в файлах операционной системы, такие как
Иногда, когда редактируется фотография, исходное изображение редактируется, но эскиз нет.
Теория: все расширения файлов имеют свои собственные и .
Мы рассмотрим сигнатуру *.jpg файла которая [FF D8 FF]
В примере у нас испорченный файл Viber3.jpg, запускаем WinHex и...

Статьи будут посещены восстановлению восстановлению MFT зоны.
В этой статья разберем что такое MFT.

Итак, файловая система NTFS представляет собой две неравные части.
Первая часть это 12 % диска отведенные под MFT-зону, которую может занимать, увеличиваясь в размере, главный служебный метафайл MFT.
Запись каких-либо данных в эту область невозможна(не обязательно, позже расскажу почему).
MFT-зона всегда держится пустой — это делается для того, чтобы MFT-файл по возможности не фрагментировался при своем росте.
Остальные 88 % тома представляют собой обычное пространство для хранения файлов.
графически это представляется так:

MFT (общая таблица файлов) - это каталог всех файлов диска. Он предназначен для определения местоположения файлов на диске.
MFT состоит из записей фиксированного размера. Размер записи MFT определяется во время форматирования тома.
Каждая запись соответствует какому-либо файлу.
Первые 16 записей...

Рассмотрим использование информации социальной сети facebook в ходе предварительного расследования.

Приветствую гостей и постояльцев Codeby.net!
Совсем недавно, коллега @Sunnych вдохновил на создание такой статьи.

Она послужит неплохим дополнением, этому материалу, и возможно позже выльется в отдельную, категорию «Форензика мессенджеров» но об этом чуть позже, вернемся к основной теме.
Я буду использовать инструмент Whapa на операционной системе Kali Rolling 2018.3.



Whapa - это набор инструментов для анализа приложения WhatsApp для Android. Все они написаны на Python 2.X.
Whapa - состоит из трех приложений:

• Whapa (Whatsapp Parser)
• Whademe (Whatsapp Decrypter and Merger)
• Whagodri (Whataspp Google Drive Extractor)

Whapa - является парсером базы данных Android WhatsApp, который автоматизирует процесс и представляет данные...

Сетевой криминалистический инструмент (Network Forensics Tool) часто используется специалистами службы безопасности для проверки уязвимостей в сети. С помощью этого обучающего руководства, посвященного kali Linux, мы представляем комплексный инструмент PcapXray для анализа файла pcap.

Инструмент отображает хосты в сети, а также всевозможные трафики, а именно, сетевой трафик, выделяет важный трафик и трафик Tor, а также потенциально вредоносный трафик

Инструмент содержит следующие компоненты:

• Диаграмма сети (Network Diagram).
• Устройство/детали трафика и его анализ (Device/Traffic Details and Analysis).
• Идентификация вредоносного трафика (Malicious Traffic Identification).
• Трафик Tor (Tor Traffic)
• GUI – GUI c опциями, чтобы загружать файл pcap (GUI – GUI with options to upload pcap file)

Обучающее руководство – Network Forensics...